The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"17 уязвимостей в GitLab"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"17 уязвимостей в GitLab"  +/
Сообщение от opennews (??), 12-Сен-24, 19:19 
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.2, 17.2.5 и 17.1.7, в которых устранено 17 уязвимостей. Одной уязвимости присвоен критический уровень опасности (9.9 из 10), 3 - высокий, 11 - умеренный и 2 - низкий. Критическая уязвимость (CVE-2024-6678) позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под другим пользователем, что  даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61851

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "17 уязвимостей в GitLab"  –8 +/
Сообщение от Аноним (-), 12-Сен-24, 19:19 
Мда... Вот что бывает, когда доверяешь написание критической системы каким-то васянам.
А ведь куча умников предлагали переходить на него с надежного гитхаба!
Ответить | Правка | Наверх | Cообщить модератору

3. "17 уязвимостей в GitLab"  +31 +/
Сообщение от Аноним (3), 12-Сен-24, 19:21 
Переходить на надёжный гитхаб это шутка дня.
Ответить | Правка | Наверх | Cообщить модератору

54. "17 уязвимостей в GitLab"  –2 +/
Сообщение от Аноним (-), 13-Сен-24, 05:49 
> Переходить на надёжный гитхаб это шутка дня.

В как минимум одном они надежны. Постоянном срыве рабочих процессов и делании мозга. То вы сменили браузер, докажи что не верблюд, и вообще, номер телефона гони! А вот вам 2FA в принудиловку, чтоб вместо занятий своим делом - вы с какой-то левой гадостью тр@хались. А вот мы тут "улучшили" интерфейс - теперь 1 ядро проца в полку даже если оно вообще нихрена не делает, во! Прикольно же если ноут жжот колени а десктоп воет вентилями - за сам факт открытия гитхаба!

Отличные рабочие процессы. Если избавиться от этих улучшений и таких улучшателей. Ах, да, майкрософту видимо не приходило в голову что git, таки, DVCS и про что угодно - кроме наглых вендорлоков.

Ответить | Правка | Наверх | Cообщить модератору

82. "17 уязвимостей в GitLab"  +/
Сообщение от farewell (ok), 16-Сен-24, 16:43 
Ну если ты не осилил 2FA, на который требуется 1 минута для настройки. В дальнейшем только при критических операциях типа удаления репы и т. п., то сложно представить какие у тебя рабочие процессы по своей сложности. Эффективный менеджер?
Ответить | Правка | Наверх | Cообщить модератору

11. "17 уязвимостей в GitLab"  +/
Сообщение от Анонимище (?), 12-Сен-24, 19:56 
Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг». Но результат один.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

25. "17 уязвимостей в GitLab"  –2 +/
Сообщение от Аноним (-), 12-Сен-24, 21:32 
> Васяны не могут в силу малых знаний и опыта, а матерым профессионалам пофиг, « и так сойдет, менеджер говорил что код должен быть вчера и нет времени на рефакторинг».

Лол, ты наверное в каком-то подвале работал, если вообще работал.
Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".

> Но результат один

Посмотри сколько новостей про уязвимости в Гитхабе и в сабже.
И посчиттай хотя бы на пальцах.


Ответить | Правка | Наверх | Cообщить модератору

30. "17 уязвимостей в GitLab"  +2 +/
Сообщение от Николай (??), 12-Сен-24, 22:55 
Гм, ну тут как в старом анекдоте, "девушки, вы обе правы!"

Если разрабатывается свой софт, то сдвинуть сроки релиза можно без особых проблем.  Или не сдвигать, но срочно после релиза выкатить патч, посмотрите на релизы ААА-игр, постоянно так делают.
Если софт разрабатывается под заказчика, с которым контракт, где прописаны сроки и неустойки, то проект-менеджер разрабов с говном съест, но сроки сдвигать ему нельзя. Или нужно эти сроки сдвига согласовывать. И зарплатный фонд разрабам на следующий месяц тоже согласовывать...

Все зависит от модели разработки.

Ответить | Правка | Наверх | Cообщить модератору

31. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (31), 12-Сен-24, 23:11 
Ну, ну. То-то MS свой мессенджер делают таким амном с 2017 какого-то года.

7 лет попивали из чашки этот продукт и - не порвали юзеры на кусочки. Красивый фасад и маркетинг сильно людей сбивают с правильного на популярное.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

41. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (-), 13-Сен-24, 00:38 
Messenger уже давно нет, ну по крайней мере уже давно не видел кто его использует. Skype они купили у русских разработчиков вероятнее всего из-за клиентов, но внутри там уже давно Lynx, как и в их продукте Teams - мессенджер для корпорастов. Они порой забивают на свои подделия, потом через время вспоминают и доделывают или переделывают на каких-нибудь новых технологиях или подходах, а порой вообще не забывают, а просто продукт-менеджмент позиционирует как другой продукт.
Ответить | Правка | Наверх | Cообщить модератору

48. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (48), 13-Сен-24, 03:22 
> купили у русских разработчиков

Ничего не путаешь?

Ответить | Правка | Наверх | Cообщить модератору

53. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (53), 13-Сен-24, 04:05 
боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электрон
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

55. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (55), 13-Сен-24, 05:56 
> боюсь тебя расстроить, но под капотом у нынешнего Скайпа - электрон

Все к чему прикасается MS, превращается в ... примерно одно и то же. Скайп продолбал все преимущества, так что про него все и забыли уже. И похрен народу что там за teams или что. Гитхаб тоже, вот, загадили. Был просто сервис для разработчиков, с удобным UI и проч. Стало аляповатое тормозное кривое уг постоянно пытающееся всучить какие-то сервисы и создающее массу неудобств. Ну народ оттуда и сваливает ударными темпами.

Ответить | Правка | Наверх | Cообщить модератору

57. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (57), 13-Сен-24, 08:09 
Всеми перечисленными Вами программами и сервисами не пользуюсь, но я благодарен компании Microsoft за то, что она могла прикрыть Qt, но не прикрыла совсем, слегка только укусила.
Ответить | Правка | Наверх | Cообщить модератору

71. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (-), 13-Сен-24, 14:05 
> Всеми перечисленными Вами программами и сервисами не пользуюсь, но я благодарен компании
> Microsoft за то, что она могла прикрыть Qt, но не прикрыла
> совсем, слегка только укусила.

Офигенная благодарность - мол, могли не только выпороть кнутом, но и убить! Какой хороший рабовладелец попался!

Ответить | Правка | Наверх | Cообщить модератору

78. "17 уязвимостей в GitLab"  +1 +/
Сообщение от _ (??), 13-Сен-24, 17:12 
> Был просто сервис для разработчиков, с удобным UI и проч. Стало

... стало просто data для обучения их AI :)

Думаешь почему их junior coder Co-Pilot реально код пишет? А потому что вы его тренируете и улучшаете :) Ни у кого в мире (ну может IBM - но там ... специфичное) нет такой кодовой базы в доступе, как у M$ ... всем юзавшим спасибо, с вас ещё денег возьмут, ага - "работать на нас - большая честь"(С) ;-)

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

43. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (43), 13-Сен-24, 00:51 
И всё-же думаю что популярное всё-же тяжелее сделать правильного, иначе за это не платили бы больших денег. Можно подумать что мессенджеры, почта и социальные сети это высокие технологии. Там информация и клиенты важнее этих технологий.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

42. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (-), 13-Сен-24, 00:46 
У разных компаний применяются разные подходы и учитесь как-то друг-друга уважать. То что вы делаете обесценивает и унижает опыт другого человека. Напомню что есть именитые западные компании выкатывают на рынок как можно быстрее сырые продукты, так как их стратегия в том чтобы снять сливки со свободной ниши где видят большие деньги в виду отсутствия конкуренции. Выше вот вспомнили Microsoft. Я лично работал в компаниях где применялся и ваш и подход выше. И не вижу причин для того чтобы друг к другу по хамски относиться.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

69. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (-), 13-Сен-24, 11:51 
> У разных компаний применяются разные подходы и учитесь как-то друг-друга уважать.

На этом форуме? Ну.. ок, ладно, постараюсь.

> То что вы делаете обесценивает и унижает опыт другого человека.

Неа, я просто честно говорю, что он работал в какой-то не очень привлекательной фирме, раз ему приходилось овнокодить по требованию менеджера.
Мы ж не снежинки какие-то, чтобы подбирать слова "а вдруг я его обижу".

> Напомню что есть именитые западные компании выкатывают на рынок как можно быстрее сырые продукты, так как их стратегия в том чтобы снять сливки со свободной ниши где видят большие деньги в виду отсутствия конкуренции

В принципе да, но нет.
Я сам работал в подобных компаниях и там идея немного другая.
"Выпускаем сырой продукт, в том смысле что фич будет немного".
А потом доделываем то, что просят пользователи.
Но если этот кусок №№№№№ падает на старте - это в прод не пойдет.

В крайнем случае можно запросить доп. людей из соседних команд.
Или закомментировать часть фич, доделать потом.

Ну или это уж очень плохой подход, я бы таких не только в пример не ставил, но агитировал всех "не работайте в таких шарашкины конторах"

Ответить | Правка | Наверх | Cообщить модератору

76. "17 уязвимостей в GitLab"  +1 +/
Сообщение от YetAnotherOnanym (ok), 13-Сен-24, 16:53 
Небось, ещё и премию тебе регулярно выписывает, когда сроки срываешь - за честность. Воображаемые менеджеры - они такие, да.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

77. "17 уязвимостей в GitLab"  +1 +/
Сообщение от _ (??), 13-Сен-24, 17:06 
> Если я говорю менеджеру "код не готов, если мы релизнем так, то нас юзеры на кусочки порвут и рейтинг аппы будет на нуле", то он спрашивает "на сколько нужно сдвинуть релиз?".

... и начинает искать тебе замену... :)
Про бонусы и ништяки тоже всё понятно.
Велком то рЫал лайф, Лео :)

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

35. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 12-Сен-24, 23:27 
> менеджер говорил что код должен быть вчера

Getting the things done!

Не забудь вписать в резюме!

(васяны не могут не в силу недостатка опыта, а потому что их по дороге к коммунизму никто кормить не намерен)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

56. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (56), 13-Сен-24, 06:04 
> (васяны не могут не в силу недостатка опыта, а потому что их по дороге
> к коммунизму никто кормить не намерен)

ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазок на тему почему FAIL - это тема. Жаль что при этом все почему-то приходит - ну вот к тому.

Ответить | Правка | Наверх | Cообщить модератору

68. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 13-Сен-24, 11:05 
> ХЫхы, нафиг Getting Things Done! Вот поныть и выдать более 9000 отмазок

ну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не снимая штанов.

Только вот с точки зрения окружающих - ты просто обо...ся.

Ответить | Правка | Наверх | Cообщить модератору

72. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (-), 13-Сен-24, 14:08 
> ну конечно, штаны надо расстегивать, изучать какие-то пуговки, молнии, еще ремень какой-то
> зачем-то придумали, некогда, некогда - пффффффф - вот, thing done! Не
> снимая штанов.

Ну так есть же ты. Выйдешь с невозмутимым выражением лица на сцену, объяснишь публике что все так и задумано, придумав более 9000 отмазок на тему почему это - хорошо и правильно а те кто делает как-то иначе лошпеды, и вообще!

> Только вот с точки зрения окружающих - ты просто обо...ся.

А ты с точки зрения окружающих мало того что обтекаешь, так еще и уверенно вещаешь что д@рьмо в штанах - так и задумано! А кто не так - вообще не в тренде. Хы.

Ответить | Правка | Наверх | Cообщить модератору

5. "17 уязвимостей в GitLab"  –3 +/
Сообщение от Walker (??), 12-Сен-24, 19:22 
Я в шоке! И мне ещё предлогали перенести все свои проекты с GitHub на эту платформу...
Ответить | Правка | Наверх | Cообщить модератору

6. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (6), 12-Сен-24, 19:27 
Бизнес, ничего личного.
Ответить | Правка | Наверх | Cообщить модератору

7. "17 уязвимостей в GitLab"  +10 +/
Сообщение от Someone (??), 12-Сен-24, 19:27 
Можно подумать, что есть разница.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

36. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 12-Сен-24, 23:27 
ты что - дальтоник?! Красный от оранжевого не отличаешь?

Ответить | Правка | Наверх | Cообщить модератору

45. "17 уязвимостей в GitLab"  +/
Сообщение от anonymos (?), 13-Сен-24, 01:34 
Правильно звучит так:
"Ты что, дальтоник скрипач? Зеленый цвет, от оранжевого, отличить не можешь?"
Ответить | Правка | Наверх | Cообщить модератору

12. "17 уязвимостей в GitLab"  +3 +/
Сообщение от Аноним (12), 12-Сен-24, 20:19 
Они что, писать вообще не умеют? Одну уязвимость могу понять. Ну две. Ну три. Но семнадцать мля! Причем это обычная GitLab-related новость, то есть такое стабильно раз в месяц мля.
Ответить | Правка | Наверх | Cообщить модератору

14. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (14), 12-Сен-24, 20:23 
Пишут, как отцы!

Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.

Ответить | Правка | Наверх | Cообщить модератору

16. "17 уязвимостей в GitLab"  +3 +/
Сообщение от Аноним (16), 12-Сен-24, 20:26 
> Достаточно вспомнить такие шедевры, как BIND, ProFTPD, Exim, OpenSMTPD, чтобы понять — решётчатость является непременным атрибутом софта с большими претензиями.

И что это доказывает? А почему ты postfix, dovecot и vsftpd не привел в пример?

Ответить | Правка | Наверх | Cообщить модератору

17. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (14), 12-Сен-24, 20:36 
> И что это доказывает?

Что глупость человеческая существует столько же, сколько человечество.

> А почему ты postfix, dovecot и vsftpd не привел в пример?

Они не такие амбициозные. Ребята просто писали хороший код, потому что им было по фану. Чего не скажешь про "титанов" (гитлаб и перечисленные мной выше).

Ответить | Правка | Наверх | Cообщить модератору

64. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (64), 13-Сен-24, 10:03 
> dovecot и vsftpd не привел в пример?
>> Они не такие амбициозные.

Да что ты говоришь?
DOVECOT The Secure IMAP server is an excellent choice
vsftpd - very secure FTP daemon

Ответить | Правка | Наверх | Cообщить модератору

67. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 13-Сен-24, 11:03 
> DOVECOT The Secure IMAP server is an excellent choice
> vsftpd - very secure FTP daemon

и списочек cve на два экрана.

Ответить | Правка | Наверх | Cообщить модератору

19. "17 уязвимостей в GitLab"  +1 +/
Сообщение от neo one (?), 12-Сен-24, 20:42 
>postfix, vsftpd

простенькие. а гитлаб оверинжиниринг на оверинжиниринге, достаточно под капот заглянуть.
хотя особых альтернатив нет

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

37. "17 уязвимостей в GitLab"  +3 +/
Сообщение от Аноним (14), 12-Сен-24, 23:29 
> хотя особых альтернатив нет

Gitea/Forgejo. Но CI у них зачаточный, что не так уж и плохо — можно прикрутить отдельно то, что больше нравится, от олдскульного Jenkins до новомодного Tekton.

Ответить | Правка | Наверх | Cообщить модератору

44. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (44), 13-Сен-24, 01:31 
> postfix
> простенький

с тобой всё предельно ясно.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

74. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (74), 13-Сен-24, 15:22 
он предельно простенький
Ответить | Правка | Наверх | Cообщить модератору

73. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (16), 13-Сен-24, 14:50 
Тут ведь считается, что если на Си хеллоу-в-рот написать, то там все классы ошибок будут собраны. А вот есть сетевой сервис, получающий и обрабатывающий данные из недоверенных источников и при этом написанный на Си - это по-твоему простенький?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

79. "17 уязвимостей в GitLab"  +/
Сообщение от _ (??), 13-Сен-24, 17:35 
Для малышей карапузов - шокирующая ноаость!
GitLab не написан на Си ...

Он написан на языке который "безопасТно управляет памятью"(С), не не на расте, да .... :)

Ответить | Правка | Наверх | Cообщить модератору

20. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (20), 12-Сен-24, 20:49 
Это же руби, чего ты хотел?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (22), 12-Сен-24, 21:10 
На С же всегда хороший код без дырок пишется
Ответить | Правка | Наверх | Cообщить модератору

27. "17 уязвимостей в GitLab"  +4 +/
Сообщение от Аноним (20), 12-Сен-24, 22:22 
> На С же всегда хороший код без дырок пишется

Да не, просто у руби такая слава намного хуже пхп уже и каждый раз подтверждается.

Ответить | Правка | Наверх | Cообщить модератору

33. "17 уязвимостей в GitLab"  –1 +/
Сообщение от Аноним (31), 12-Сен-24, 23:16 
Не в языке дело. А в размере и заточенности на интерес простых, вместо сути. Дело в методах разработки продукта.

У них постоянно что-либо не работает. Мат-пере-мат, пока добъёшься от приложения нужного. Какое-то ни к селу ни на деревню остроумие баловства магией опциями, вместо того, чтоб просто сделать логичное.

Ответить | Правка | Наверх | Cообщить модератору

40. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (14), 12-Сен-24, 23:34 
> Не в языке дело.

Речь идёт не о прямой причинно-следственной связи, а о корреляции определённых языков с низкой культурой разработки. Такие связи складываются исторически, когда люди без опыта и желания разбираться хватают не глядя модный на тот момент инструмент, осваивают несколько простейших приемов и бегут пилить проекты, ничему не учась.

PHP и Ruby — достаточно характерные примеры таких "концентраторов". Это не обязательно говорит о "плохости" самого языка как инструмента — он мог просто оказаться "не в том месте не в то время".

Ответить | Правка | Наверх | Cообщить модератору

13. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (13), 12-Сен-24, 20:22 
И что тут такого? В ялре линукса каждый день исправляют десяток уязвимостей, и ничего, Земля не сходит со своей оси.
Ответить | Правка | Наверх | Cообщить модератору

15. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (14), 12-Сен-24, 20:24 
В данном случае, как видите, тоже не сошла :)
Ответить | Правка | Наверх | Cообщить модератору

18. "17 уязвимостей в GitLab"  +3 +/
Сообщение от Аноним (18), 12-Сен-24, 20:38 
некоторые проекты, чувствительные к безопасности, с помпой ликвидировали trac, перейдя на GitLab.
Ответить | Правка | Наверх | Cообщить модератору

24. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (3), 12-Сен-24, 21:19 
Совпадение? Точно совпадение.
Ответить | Правка | Наверх | Cообщить модератору

29. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (29), 12-Сен-24, 22:39 
Их заранее предупреждали это не делать, аккуратно предсказав последствия.
Ответить | Правка | Наверх | Cообщить модератору

49. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (48), 13-Сен-24, 03:29 
Trac мог ещё десять лет тянуть с релизом новой ветки.

Эти хотя бы дырки регулярно закрывают.

Ответить | Правка | Наверх | Cообщить модератору

59. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 13-Сен-24, 08:45 
если твой проект уже использует trac - значит та ветка которую ты выбрал десять лет назад - вполне тебя устраивала. Что, чорд побери, у тебя в проекте случилось за эти десять лет что тебе наимоднявейшее подавай?

Нового стикерпака не хватало, он срочно нужен для еще более быстрого тяпляпа?

> Эти хотя бы дырки регулярно закрывают.

вместо того чтоб их не создавать.

Ну ок, все при деле - ты бесконечно апгрейдишься на новые еще более улучшенные версии, васяны потихоньку майнят.
(это не фигура речи - приходилось починять такое. Причем - закрытый контур, чтоб попасть на машинку, понадобился энидеск, мать его, захожу с чужого экрана на хост - а там... там-тадам, зоопарк червяков, уже друг-друга жрут. Владельцы заметили только когда что-то поломалось настолько что через вебморду уже не пускало.)

Ответить | Правка | Наверх | Cообщить модератору

70. "17 уязвимостей в GitLab"  +1 +/
Сообщение от Аноним (-), 13-Сен-24, 11:53 
Это тот самый trac, у которого сейчас 1000+ открытых issue?
Можно конечно сидеть на какой-то некроверсии и мириться с багами.
Или даже самостоятельно бекпортить..

А работать когда?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

21. "17 уязвимостей в GitLab"  –3 +/
Сообщение от Аноним (21), 12-Сен-24, 20:59 
А чем git+ssh+email не устраивает?
Ответить | Правка | Наверх | Cообщить модератору

23. "17 уязвимостей в GitLab"  +2 +/
Сообщение от Аноним (3), 12-Сен-24, 21:18 
Нет дыр
Ответить | Правка | Наверх | Cообщить модератору

28. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (28), 12-Сен-24, 22:31 
Нужны смузи в виде формочек, веб гуйни и всяких свистоперделок с непрерывной интегрцией.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

32. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (32), 12-Сен-24, 23:15 
Сложна
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

34. "17 уязвимостей в GitLab"  –1 +/
Сообщение от Аноним (31), 12-Сен-24, 23:19 
Надо документацию читать на API продуктов. В голове уметь скрипт придумать.

А тут на халяву GUI и интеграция с костылями - API можно не учить, скрипты - тоже, т.к. на YAML такая каша, что ничем не спасти. Счастье тёплого болотца обуревает.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

38. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 12-Сен-24, 23:29 
тем что дальше хеловрота не работает.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

63. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (16), 13-Сен-24, 10:01 
с разработкой ядра как-то работает
Ответить | Правка | Наверх | Cообщить модератору

66. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 13-Сен-24, 11:02 
> с разработкой ядра как-то работает

тоже нет. ssh на свой хост Б-жок с Пальцем тебе предоставлять не собирается. Вооон туда иди там вебмордочка для тебя, если ты ну ооооочень из уважаемых.

Потом порежь помельче, и с биением челом подай все равно в рассылку. В ней тебе пятьдесят раз предложат исправить color на colour и обратно, а remote root не заметят, это надо ж код читать, там некому и некогда.

Если повезет - через годик Б-жок оттопыренным пальчиком твой патч (не забудь двести раз переписать под все более новый шта6ле нонсенс) и выложит на лопате остальным.

Такой вот dvcs.

Живет только и исключительно потому что денег у ibm - немеряно.


Ответить | Правка | Наверх | Cообщить модератору

26. "17 уязвимостей в GitLab"  +/
Сообщение от penetrator (?), 12-Сен-24, 21:54 
An issue was discovered in GitLab CE/EE affecting all versions starting from 8.14 prior to 17.1.7, starting from 17.2 prior to 17.2.5, and starting from 17.3 prior to 17.3.2, which allows an attacker to trigger a pipeline as an arbitrary user under certain circumstances.

Мне пофиг, у меня запустить pipeline может только тот кто пишет protected tag / branch, т.е. тот у кого и так есть эти привилегии.

Это плохо для публичного гитлаба. Для собственного инстанса во многих случаях некритично.

Ответить | Правка | Наверх | Cообщить модератору

39. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 12-Сен-24, 23:32 
мы конечно рады, что твой завод окружен заборчиком, но, боюсь, у нас не будут рады если аффтары нужного и важного сайта "25.5лет компании ххх" исполняющего корпоративный гимн при открытии странички со снежинками (или что это там - я хз) внезапно смогут исполнить какого-то своего кота в контексте системы документооборота с доступом к ПД половины рассеян.

(разумеется, в реале не смогут, потому что ее гитлаб вообще в другом и изолированном контуре. Ну просто потому что мы примерно догадывались про его безопастность - еще на этапе внедрения этой чуши.)

Ответить | Правка | Наверх | Cообщить модератору

61. "17 уязвимостей в GitLab"  +/
Сообщение от анон (?), 13-Сен-24, 10:00 
А зачем внедрять "чушь"? Инвалидность мозга?
Ответить | Правка | Наверх | Cообщить модератору

65. "17 уязвимостей в GitLab"  +/
Сообщение от нах. (?), 13-Сен-24, 10:58 
> А зачем внедрять "чушь"? Инвалидность мозга?

затем что разработчинкам нужно ci/cd и вот ето вот всьо.
И других разработчиков у меня для вас давным-давно уже нет.


Ответить | Правка | Наверх | Cообщить модератору

46. "17 уязвимостей в GitLab"  +2 +/
Сообщение от Аноним (46), 13-Сен-24, 02:28 
Странное название статьи. Я уверен, что в гитлабе больше семьнадцати уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

58. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (57), 13-Сен-24, 08:13 
Эти были последние.
Ответить | Правка | Наверх | Cообщить модератору

62. "17 уязвимостей в GitLab"  +/
Сообщение от анон (?), 13-Сен-24, 10:01 
Последние - это после которых ничего нет, но это не про гитлаб
Ответить | Правка | Наверх | Cообщить модератору

80. "17 уязвимостей в GitLab"  +/
Сообщение от _ (??), 13-Сен-24, 17:41 
Тогда - крайние :)
Ответить | Правка | Наверх | Cообщить модератору

60. "17 уязвимостей в GitLab"  +/
Сообщение от Ося Бендер (?), 13-Сен-24, 08:52 
Они-же вроде кому-то продались. Наверно долго отмечали продажу, за кодом перестали следить, сочувствую...
Ничего сейчас инвестор даст по щам и исправят свои косяки.
Хейтерам надо расслабиться.
Ответить | Правка | Наверх | Cообщить модератору

81. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (81), 13-Сен-24, 21:13 
вроде только собрались продаваться, и начали уязвимости находить одну за другой. много попросили?
Ответить | Правка | Наверх | Cообщить модератору

75. "17 уязвимостей в GitLab"  +/
Сообщение от Аноним (-), 13-Сен-24, 16:11 
17 друзей GitLab.
Ответить | Правка | Наверх | Cообщить модератору

83. "17 уязвимостей в GitLab"  +/
Сообщение от zog (??), 17-Сен-24, 18:18 
Вроде бы уже находили серьёзные уязвимости в GitLab. И вот опять?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру